中华人民共和国个人信息保护法(草案)2017版编者按:大数据和人工智能时代的到来,个人信息作为大数据挖掘和利用的“宝藏”,面临着空前的保护危机,个人不应当在享受科技发展便利的同时遭受人格权利的侵害。2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表今年两会提交《关于制定中华人民共和国个人信息保护法的议案》,建议尽快制定《中华人民共和国个人信息保护法》。议案同时将《中华人民共和国个人信息保护法(草案)》作为附件提交。中华人民共和国个人信息保护法(草案)目录第一章一般规定第二章个人信息权第三章国家机关信息处理主体对个人信息的收集、处理和利用第四章非国家机关信息处理主体对个人信息的收集、处理和利用第五章法律责任第六章附则第一章一般规定第1条【立法目的】为规范个人信息的收集、处理和利用,保护自然人个人信息权以及其他合法权益,促进个人信息的合理利用,规范个人信息跨境传输,特制定本法。第2条【适用范围】本法适用于完全或者部分通过自动方式进行的个人信息处理和可以进行检索的人工处理。第3条【个人信息】是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。第4条【合法原则】个人信息的收集、处理和利用应当遵循合法、正当、必要的原则,不得违反法律、法规的规定和双方的约定收集、处理和利用个人信息。第5条【知情同意原则】不符合本法或其他法律、法规规定,或未经信息主体知情同意,不得收集个人信息。收集不需识别信息主体的个人信息,应当消除该信息的识别力,并不得恢复。第6条【目的明确原则】个人信息的收集应当有明确而特定的目的,不得偏离有关目的收集个人信息。不得以欺诈、胁迫等其他不正当的手段获取个人信息。第7条【限制利用原则】个人信息的处理和利用,必须与收集目的一致,必要情况下的目的变更应当有法律规定或取得信息主体的同意或其他正当理由。第8条【完整正确原则】信息处理主体应当保证个人信息在利用目的范围内准确、完整并及时更新。第9条【安全原则】信息处理主体应当采取合理的安全措施保护个人信息,防止个人信息的意外丢失、毁损,非法收集、处理、利用。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。第10条【可追溯、可异议、可纠错原则】信息处理主体必须保障个人信息来源渠道和信息使用渠道清晰,确保个人信息可追溯、可异议和可纠错。第二章个人信息权第11条【个人信息权】自然人的个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘,依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。第12条【信息决定权】个人信息权人得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。第13条【信息保密权】个人信息权人得以请求信息处理主体保持信息隐秘性。第14条【信息访问权】个人信息权人得以查询、访问其个人信息及其有关的处理的情况,并要求答复。第15条【信息更正权】个人信息权人得以请求信息处理主体对不正确、不全面的个人信息进行更正与补充,或对过时的个人信息进行更新。第16条【信息可携权】信息主体有权就其被收集处理的个人信息获得对应的副本,并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。第17条【信息封锁权】在法定或约定事由出现时,个人信息权人得以请求信息处理主体以一定方式暂时停止或限制该个人信息的处理。第18条【信息删除权】在法定或约定事由出现时,个人信息权人得以请求信息处理主体无条件删除其个人信息。第19条【被遗忘权】在法定或约定事由出现时,信息主体得以请求信息处理主体无条件断开与该个人信息的任何链接,销毁该个人信息的副本或复制件。第三章国家机关信息处理主体(以下简称“国家机关”)对个人信息的收集、处理和利用第20条【国家机关个人信息收集】国家机关为履行职责或接受其他有权机关的委托可以依法收集个人信息。国家机关应当在职权范围内收集个人信息,没有信息主体的书面同意或授权,不得超越职权收集个人信息。国家机关应当直接向信息主体收集个人信息,本人委托有代理人的,也可向代理人收集,法律另有规定或根据个人信息性质不宜从信息主体处收集的除外。第21条【国家机关告知义务】国家机关收集个人信息,应当事前公告或告知信息主体或其代理人国家机关的名称、收集个人信息的法律依据、目的、处理和利用方式、个人信息收集是否强制、信息主体的权利和不提供个人信息的法律后果。第22条【国家机关个人信息的处理和利用】1.国家机关因履行法定职责,并为实现收集个人信息的目的,可以处理和利用个人信息。2.有下列情形之一的,可以在收集目的之外处理或利用个人信息:(1)法律法规明文规定的;(2)为维护国家安全、公共安全或增进社会公共利益;(3)为防止信息主体或他人人身或财产上的重大利益遭受侵害所必要的;(4)进行学术研究所必要且无害于信息主体利益的,但研究人员或机构应当对使用的个人信息进行保密;(5)有利于信息主体权益的;(6)信息主体书面同意或授权的;(7)收集的是已公开的个人信息,但信息主体声明禁止变更目的的除外。3.为个人信息的保护检查、个人信息的安全以及确保个人信息处理设备的正常运转目的而存储的个人信息,仅可依其目的而利用。第23条【个人信息的传输】1.国家机关之间传输个人信息,须满足以下条件之一:(1)为一方或双方履行职责所必要;(2)符合第21条第2款的规定。2.个人信息的接收人应当保证只在传输目的范围内处理和利用个人信息。除非符合第21条第2款规定的情形并获得传输人的同意,接收人不得将个人信息用于其他目的。3.国家机关向非国家机关信息处理主体传输个人信息,须满足以下条件之一,并告知信息主体或其代理人:(1)非国家机关信息处理主体证明其对他人的个人信息有正当利益;(2)信息主体无合法利益禁止该传输。第24条【个人信息的跨境传输】国家机关需要向境外传输个人信息的,应当符合有关专门的法律法规规定。如果接收地对个人信息提供的保护措施未达到我国法律规定的最低保护标准,或者向境外传输个人信息违反我国法律或公序良俗的,不得向境外传输个人信息。第25条【个人信息比对】国家机关为履行职责,与其他国家机关或非国家机关信息处理主体之间通过达成书面比对协议并符合下列条件之一的,可以进行个人信息比对:(1)为防止危害国家安全和公共安全所必要的;(2)为反恐怖活动、反恐怖融资和反洗钱等所必要的;(3)侦查机关进行刑事侦查所必要的;(4)税务机关为防止逃税、骗税等行为损害国家税收利益所必要的;(5)为支持学术研究工作或统计项目而进行的个人信息比对,所得到的个人信息不得用于作出与信息主体权益有影响的决定;(6)为得到统计资料,确有进行个人信息比对必要的;(7)为一般行政目的且主要利用国家工作人员的记录进行个人信息比对的;(8)只利用本机关内部个人信息数据库中的个人信息进行比对的,但比对结果不得用于作出不利于国家工作人员的决定;(9)法律规定的其他情形。个人信息比对的结果未经该国家机关独立调查并证实,或在通知信息主体后未经过合理的异议提出及处理终结期间,不得利用此结果作出不利于信息主体的决定,但法律规定有其他情形的不在此限。第26条【政策披露】国家机关应当公开有关个人信息的收集、处理和利用的政策,并以政府公告或其他适当方式公告下列信息:(1)个人信息档案的名称;(2)个人信息的类别和范围;(3)个人信息的收集机关、目的、范围和程序;(4)个人信息的处理和利用机关及目的;(5)个人信息存储机关的名称、住所及联系方式;(6)个人信息存储的法律依据和目的;(7)个人信息传输的通常接收人的名称、住所及联系方式;(8)跨境传输个人信息的直接接收人名称、住所及联系方式;(9)受理查询、变更、删除或阅览等申请的机关的名称、住所及联系方式;(10)拒绝查询、变更、删除或阅览的法律依据及程序;(11)信息主体享有的各项个人信息权利及法律救济措施;(12)国家机关及其工作人员的法定义务和不履行本法规定义务的法律责任;(13)其他应当公开的事项。国家机关披露的信息不应当包括个人信息档案的内容。第27条【信息披露的例外】下列各项个人信息档案不适用前条规定:1.有关国家安全、军事机密或其它重大国防利益的;2.有关国家重大的外交、经济利益的;3.有关犯罪、刑事侦查的;4.个人信息的安全措施;5.法律规定不应当公开的其他情形。第28条【信息主体的访问权行使】信息主体有权向国家机关检索、访问和查询其个人信息记录的内容,包括个人信息的来源与接收者。根据法律或合同关于保留的规定而不能删除的个人信息,或仅为个人信息安全和个人信息保护控制的目的保存的个人信息除外。有以下情形之一的,受理机关不得提供查询:1.对国家利益、公共利益、公序良俗有害的;2.会造成信息处理主体不公正履行职责的;3.事关第三人重大利益而提供信息对信息主体利益影响不大的;4.法律另有规定或根据个人信息性质不宜提供的。国家机关应当向信息主体说明其拒绝查询的法律依据和理由。第29条【提供复制本】信息主体请求提供复制本的,国家机关应当给予便利,可收取适当的成本费。但国家机关在第26条规定的情形下应当拒绝提供复制本。第30条【个人信息其他权利的行使】1.国家机关发现其存储的个人信息不正确的,应当依职权予以变更,并予以记录。信息主体认为其个人信息不正确而请求变更的,在查明事实后,应当予以变更,不予变更的应当向信息主体说明理由,并在记录簿上作相应记录。2.个人信息有以下情形之一的,应当被删除:(1)非法存储的;(2)国家机关执行职责已无知悉该个人信息的必要的;3.有下列情形之一的,应当以封锁代替删除:(1)因法律法规规定的或合同约定的保管期限,不得删除的;(2)有理由认为删除将损害信息主体的合法利益的;(3)因存储方式特殊不能删除或需要过多费用才能删除的;(4)根据个人性质不宜删除的。信息主体对个人信息的正确性有争议,而无法确认其正确与否的,应当予封锁。4.国家机关确认在特定情况下若不封锁个人信息,信息主体的合法利益将受到损害且该机关履行职责已经不再需要该个人信息的,应当封锁该个人信息。5.符合以下条件,可以传输或利用被封锁的个人信息而无须信息主体的同意:(1)为了信息主体或第三人人身或财产上的重大利益免受损害;(2)为免除公共利益受损害所必须的。6.依前述第1款和第5款规定对个人信息进行变更、传输或利用,应当通知信息主体。7.在保护信息主体的合法权益确有必要的前提下,依前述第1、第2、第3或第4款变更、删除、封锁个人信息的信息处理主体,应当通知个人信息传输的接收人及其他有关主体。第31条【受理期限】国家机关受理信息主体依本法提出的申请后,应当在受理申请之日起15天内予以答复,必要情况下需要延长的,该行政机关可以批准延长15天。特殊情况还需要延长的,报请上级主管机关批准。第32条【安全措施】国家机关应采取技术措施和其他必要措施,设置专人负责个人信息的安全管理工作,并根据技术发展的状况及时更新安全措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。第33条【国家机关工作人员的义务】未经授权,国家机关工作人员以及其委托的其他人员不得处理或利用个人信息,并对个人信息负有保密义务,工作结束后仍承担该义务。国家机关工作人员对其在履行法定职责过程中所收集、处理或利用的个人信息负有保密义务,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。第四章非国家机关信息处理主体对个人信息的收集、处理和利用第34条【适用对象】本节适用于自然人、法人或其他信